umetnost obmane

UMOB

, November 4, 2003 10:04 am

Predgovor_UMOB.slog, ix str.

predgovor

eki hakeri uniãtavaju àudima datoteke ili celokupan sadræaj disko-va – oni su

provalnici

ili

vandali

. Neki hakeri poåetnici se ne trudeda nauåe tehnologiju, veñ koriste hakerske alate da bi provalili u

raåunarske sisteme – oni su

skriptaãi

. Iskusniji hakeri razvijaju hakerskeprograme i objavàuju ih na Webu i u diskusionim grupama. A tu su i osobekoje tehnologija ne zanima, veñ raåunar koriste samo kao pomoñno sred-stvo za kraœu novca, dobara i usluga.

Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlona-meran haker.

Ali, sad vam sve priåam unapred.

POÅECI

Svoj put sam verovatno odabrao rano. Bio sam bezbriæno dete, ali sam sedosaœivao. Nakon ãto nas je otac ostavio kada sam imao tri godine, mojamajka je radila kako konobarica da bi nas izdræavala. Poãto je moralanaporno da radi po ceo dan, ja sam uglavnom daçu bio sam. Åuvao samsam sebe.

Buduñi da sam odrastao u San Fernando Veliju, mogao sam da istraæu-jem åitav Los Anœeles, a do svoje dvanaeste godine pronaãao sam naåin daputujem besplatno po åitavoj teritoriji L.A. Jednog dana, dok sam se vozioautobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od ne-obiånog rasporeda izbuãenih rupica kojima su vozaåi oznaåavali dan, vremei trasu. Jedan àubazan vozaå odgovorio je na moje paæàivo formulisano pi-taçe. Objasnio mi je gde da kupim tu vrstu aparata za buãeçe rupica.

Karte za presedaçe omoguñavaju putnicima da meçaju autobuse doodrediãta, ali ja sam smislio kako da pomoñu çih besplatno putujem gde

n

UMOB

, November 4, 2003 10:04 am

Predgovor_UMOB.slog, x str.

x

Pred

govo

r

god poæelim. Nabaviti neoverene karte za presedaçe bio je maåji kaãaà.Kante za otpatke na autobuskim stajaliãtima bile su uvek pune delimiånoispuçenih blokova karata za presedaçe, koje bi vozaåi bacili na krajusmene. S blokom praznih karata i ureœajem za buãeçe rupica, mogao samda oznaåavam sopstvenu trasu i putujem kud god su iãli autobusi u LosAnœelesu. Ubrzo sam gotovo napamet znao red voæçe åitavog gradskogprevoza. (To je bio jedan od prvih primera mog zaåuœujuñeg pamñeçaodreœenih vrsta informacija: i danas mogu da se setim telefonskih brojeva,lozinki, i drugih naizgled beznaåajnih pojedinosti iz detiçstva.)

U detiçstvu sam bio opåiçen opsenarstvom. Kad bih saznao kako senov trik izvodi, veæbao bih, veæbao, i joã malo veæbao dok ga ne bihnauåio. U izvesnoj meri, upravo sam kroz maœioniåarstvo otkrio radostsaznavaça neåeg tajanstvenog.

Od prevaranta koji se sluæi telefonom do hakera

Moj prvi susret s onim ãto ñu kasnije zvati

obmaçivaçe

,

dogodio se usredçoj ãkoli, kad sam se upoznao s uåenikom åiji je hobi bio

zloupotre-bàavaçe telefona

. To je vrsta hakerisaça kojim se istraæuje telefonskamreæa. Koriste se telefonski sistemi i iskoriãñavaju zaposleni u telefonskojkompaniji. Pokazao mi je zgodne trikove koje je umeo da izvede prekotelefona, poput dobijaça svih informacija koje telefonska kompanija imao bilo kom klijentu, ili upotrebe tajnog probnog broja da bi se besplatnokoristile meœugradske veze. (Zapravo, samo je za nas to bilo besplatno.Mnogo kasnije sam saznao da to uopãte nije bio tajni probni broj. Pozivisu se naplañivali preko MCI raåuna neke jadne kompanije.)

To me je uvelo u obmaçivaçe – bilo je to, takoreñi, moje obdaniãte.Moj prijateà i joã jedan takav prevarant, kojeg sam nedugo zatim upo-znao, dozvoàavali su mi da sluãam dok su pod nekim

izgovorom

pozivalitelefonsku kompaniju. Åuo sam stvari koje su im govorili da bi zvuåaliverovatnije; nauåio sam neãto o razliåitim ograncima telefonske kompa-nije, çihovu terminologiju i procedure. Ta obuka nije dugo trajala; nije nibilo potrebno. Uskoro sam sve to radio sam, usput uåeñi, sve dok nisampostao boài i od sopstvenih prvih uåiteàa.

Put kojim ñe se moj æivot odvijati tokom sledeñih petnaest godina bioje zacrtan.

UMOB

, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xi str.

xi

Predgovo

r

U sredçoj ãkoli mi je jedna od omiàenih ãala bila da neovlaãñeno pri-stupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugogprevaranta. Kad bi pokuãao da pozove od kuñe, poruka bi ga obavestila datreba da ubaci novåiñ jer bi do telefonske centrale stizao signal koji znaåida zove iz telefonske govornice.

Opåiçavalo me je sve o telefonima – ne samo elektronika, centrale iraåunari, veñ i organizacija telefonske kompanije, te çihove procedure iterminologija. Nakon izvesnog vremena, verovatno sam boàe poznavaotelefonski sistem od bilo kog zaposlenog. Svoju veãtinu obmane razviosam do te mere da sam, sa sedamnaest godina, mogao da – liåno ili tele-fonom – nagovorim veñinu zaposlenih u telefonskoj kompaniji da uåinegotovo bilo ãta.

Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poåela jedok sam bio u sredçoj ãkoli. Iako ovde ne mogu opisivati pojedinosti, reñiñu da je jedna od linija vodiàa u mojim ranim hakerskim danima bila dabudem prihvañen u krug ostalih hakera.

U to vreme, nama je izraz

haker

oznaåavao osobu koja provodi mnogovremena petàajuñi s hardverom i softverom, da bi razvio efikasnije pro-grame ili da bi zaobiãao nepotrebne korake i obavio posao bræe. Taj izraz jesada postao pogrdan, i oznaåava “zlonamernog kriminalca”. U ovoj kçizija ga koristim kao i uvek – u çegovom starijem, dobroñudnijem znaåeçu.

Nakon sredçe ãkole, studirao sam informatiku u Centru za raåunarskuobuku u Los Anœelesu. Za nekoliko meseci, upravnik raåunarske mreæe uãkoli otkrio je da sam pronaãao propust u operativnom sistemu i dodeliosebi ovlaãñeça administratora na çihovom IBM-ovom miniraåunaru. Ninajboài struåçaci za raåunare koji su tamo predavali nisu mogli da shvatekako sam to uåinio. Bio je to moæda jedan od najranijih primera “unaj-màivaça hakera” – ponudu nisam mogao da odbijem. Traæili su da zadiplomski rad uradim projekat za unapreœivaçe bezbednosti ãkolskihraåunara, ili da budem izbaåen zbog hakerskog upada u sistem. Naravno,odabrao sam prvo, pa sam na kraju diplomirao s najveñim ocenama.

Kako sam poåeo da se bavim obmaçivaçem

Neki àudi svakog jutra ustaju iz kreveta uæasavajuñi se rutine svako-dnevnog posla u “rudniku”, kako se kaæe. Ja sam bio te sreñe da sam uæivaou poslu. Ne moæete ni zamisliti izazov, nagradu i zadovoàstvo koje sam

UMOB

, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xii str.

xii

Pred

govo

r

dobijao za vreme koje sam proveo kao privatni istraæiteà. Brusio sam svojtalenat u

umetnosti

obmane

(u kojoj se àudi navode da åine ono ãto obiånone bi uradili za neznanca), i bio sam za to plañen.

Meni nije bilo teãko da postanem vrstan obmaçivaå. Oåeva familija segeneracijama bavila trgovinom, pa sam umetnost uticaça i ubeœivaçamoæda i nasledio. Kad spojite tu crtu s teæçom za varaçem àudi, dobijatetipiåan profil osobe koja moæe da se bavi obmaçivaçem.

Moglo bi se reñi da postoje dve specijalnosti u okviru tog zanimaça.Onaj ko vara àude i izmamàuje od çih novac pripada jednoj potkatego-riji –

varalicama

. Onaj ko obmaçuje i ubeœuje zaposlene u kompanijama,i utiåe na çih, obiåno s ciàem da se domogne çihovih informacija, pripa-da drugoj potkategoriji –

obmaçivaåima

. Joã od vremena kad sam izvodiosvoj trik s kartama za autobus, kad sam bio isuviãe mali da bih znao da toãto radim nije u redu, poåeo sam u sebi da prepoznajem talenat zaotkrivaçe tajni koje nije trebalo da saznam. Taj sam talenat nadogradiokoristeñi se obmanom, poznajuñi terminologiju, i razvijajuñi do majstor-stva veãtinu manipulacije.

Jedan od naåina na koji sam razvijao veãtinu svog zanata, ako ga takomogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista sta-lo, i da vidim mogu li nekog s druge strane æice nagovoriti da mi ga oda,tek da bih se kalio. Kao ãto sam uveæbavao iluzionistiåke trikove – veæbaosam lagaçe preko telefona. Uskoro sam otkrio da mogu da doœem do go-tovo bilo koje informacije koju poæelim.

Kao ãto sam opisao u svedoåeçu pred senatorima Libermanom i Tom-sonom godinama kasnije:

Neovlaãñeno sam pristupao raåunarskim sistemima nekih od najveñihfirmi na svetu, i uspeãno sam upadao u neke od najotpornijih raåunarskihsistema koji su ikad napravàeni. Koristio sam tehniåka i ostala sredstvada bih se domogao izvornog koda raznih operativnih sistema i teleko-munikacionih ureœaja, da bih prouåavao çihove slabe taåke i naåin nakoji rade.

Sve to sam åinio da bih zadovoàio sopstvenu znatiæeàu; da bih videoãta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mo-bilnim telefonima, i svemu ostalom ãto bi zagolicalo moju àubopitàivost.

UMOB

, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xiii str.

xiii

Predgovo

r

ZAKLJUÅAK

Nakon hapãeça, priznao sam da je to ãto sam åinio nezakonito, i da samnaruãavao tuœu privatnost.

Ta kriviåna dela vrãio sam iz radoznalosti. Hteo sam da znam ãto viãeo tome kako rade telefonske mreæe, kao i sve pojedinosti o obezbeœeçukompanija. Preãao sam put od momka koji voli da prikazuje iluzionistiåketrikove, do najozloglaãenijeg svetskog hakera, kojeg se plaãe i kompanije ivlade. Kad razmislim o svom æivotu u posledçih 30 godina, priznajem dasam doneo neke veoma loãe odluke, voœen àubopitàivoãñu, æeàom danauåim neãto viãe o tehnologiji, kao i potrebom za odgovarajuñim intelek-tualnim izazovima.

Sada sam druga osoba. Koristim svoj talenat i ogromno znaçe o bez-bednosti informacija i metodama obmane da bih pomogao dræavnim in-stitucijama, kompanijama i pojedincima da spreåe i otkriju opasnosti pobezbednost informacija, i da na to reaguju.

Ova kçiga je joã jedan naåin da svojim iskustvom pomognem drugimada se odbrane od zlobnih kradàivaca informacija. Smatram da ñe vampriåe biti zabavne, pouåne i informativne.

1

deo

UMOB

, November 4, 2003 10:05 am

01_UMOB.slog, 1 str.

Iza kulisa

UMOB

, November 4, 2003 10:05 am


1

poglavlje

Najslabija taåkabezbednosnog sistema

reduzeñe moæe da kupi najboàe dostupne bezbednosne tehnologije,obuåi àude tako dobro da zakàuåavaju sve tajne informacije prenego ãto uveåe poœu kuñi, i zaposli najboàe åuvare zgrade.

Takva kompanija je ipak potpuno raçiva.Pojedinci se mogu pridræavati svakog visokobezbednosnog pravila koje

preporuåuju struåçaci, revnosno instalirati svaki preporuåeni proizvod izoblasti bezbednosti, i mogu veoma paæàivo konfigurisati sistem i prime-çivati bezbednosne zakrpe.

I ti pojedinci su ipak sasvim podloæni napadima.

LJUDSKI ÅINILAC

Kad sam svedoåio pred Kongresom SAD, objasnio sam da sam åesto dola-zio do lozinki i drugih poveràivih informacija pretvarajuñi se da sam nekodrugi i

jednostavno traæeñi.

Prirodno je da åovek teæi oseñaçu apsolutne sigurnosti, usled åega semnogi uàuàkuju u laæno oseñaçe bezbednosti. Uzmite, na primer, odgo-vornog i briænog kuñevlasnika. Da bi zaãtitio svoju æenu, decu i dom, naulazna vrata ugraœuje bravu s prekidaåem, za koju se misli da se ne moæeobiti. On se sada oseña mnogo prijatnije, buduñi da je çegova porodica

p

UMOB

, November 4, 2003 10:05 am


4

Deo

1: Iz

a kulis

a

mnogo boàe zaãtiñena od uàeza. Ali ãta ako provalnik razbije prozor iliotkrije ãifru sistema za otvaraçe garaænih vrata? Ãta kaæete na to da instali-rate robustniji bezbednosni sistem? To je boàe, ali i daàe nema garancija.Sa skupim bravama ili bez çih, kuñevlasnik je i daàe podloæan napadima.

Zaãto? Zato ãto je

àudski

åinilac zapravo najslabija taåka bezbednosnogsistema.

Bezbednost je suviãe åesto samo iluzija, iluzija kojoj povremeno idu uprilog lakovernost, naivnost, ili neznaçe. Najåuveniji svetski nauånik dva-desetog veka, Albert Ajnãtajn, rekao je: “Samo su dve stvari bezgraniåne,univerzum i àudska glupost, a za ono prvo nisam ni siguran”. Dakle, ob-maçivaçe moæe da uspe kada se naiœe na àudsku glupost ili, åeãñe, nanepoznavaçe dobrih bezbednosnih pravila. Buduñi da imaju sliåan stavkako i naã kuñevlasnik koji pazi na bezbednost, mnogi struåçaci iz oblastiinformacionih tehnologija (IT) æive u zabludi da su u velikoj meri obezbe-dili preduzeñe primenom standardnih bezbednosnih proizvoda – zaãtitnihbarijera, sistema za otkrivaçe upada, ili moñnijih ureœaja za identifikacijupoput onih sa ãiframa koje se meçaju u vremenskim intervalima, ili bio-metriåkih identifikacionih kartica. Svi koji smatraju da sami bezbednosniproizvodi nude pravu sigurnost, uàuàkuju se u

iluziju

sigurnosti. Oni æiveu svetu uobraziàe: pre ili kasnije, neizbeæno ñe im se dogoditi bezbednosniincident.

Kao ãto priznati savetnik za bezbednost Brus Ãnajer kaæe: “Bezbednostse ne dobija od proizvoda; to je proces”. Ãtaviãe, to nije tehnoloãki pro-blem – veñ problem àudi i uprave.

Kako se razvijaju sve boàe i boàe bezbednosne tehnologije, koje oteæa-vaju pronalaæeçe tehniåkih propusta, napadaåi ñe se sve viãe okretati àud-skom åiniocu. Poraæavaçe àudskog sigurnosnog bedema je åesto lako, nezahteva nikakva ulagaça osim jednog telefonskog poziva, i podrazumevaminimalan rizik.

KLASIÅAN SLUÅAJ OBMANE

Ãta je najveña pretça bezbednosti vaãeg poslovaça? Odgovor je jednosta-van; to je obmaçivaå – beskrupulozni maœioniåar åiju levu ruku gledatedok vam desnom krade tajne informacije. Ta osoba je åesto tako prijateà-ski nastrojena, toliko je slatkoreåiva i predusretàiva, da ste sreñni ãto ste naçu naiãli.

UMOB

, November 4, 2003 10:05 am


5

Poglavlje 1

: Najslab

ija taåka bezb

ednosn

og sistem

a

Evo primera obmane. Ne señaju se mnogi danas mladog Stenlija MarkaRifkina i negove male avanture sa sada nepostojeñom bankom SecurityPacific National Bank u Los Anœelesu. Postoje razne priåe o çegovimludorijama, jer Rifkin (poput mene) nikada nije ispriåao sopstvenu verzi-ju. Priåa koja sledi zasniva se na objavàenim izveãtajima.

Otkrivaçe ãifre

Jednog dana 1978. Rifkin se odãetao do prostorije za transakcije bankeSecurity Pacific. Pristup toj prostoriji bio je dozvoàen samo odreœenimzaposlenima. Sluæbenici su tu slali i primali transakcije åija je ukupnavrednost dostizala i nekoliko milijardi dolara svakog dana.

Kompanija u kojoj je radio trebalo je da projektuje rezervni sistem zapodatke, u sluåaju da se glavni raåunar pokvari. Zahvaàujuñi toj uloziimao je pristup proceduri rada pri transakcijama, ukàuåujuñi i to kako åi-novnici banke ãaàu nalog da se novac prebaci na neki raåun. Saznao je dase ovlaãñenim åinovnicima svakog jutra daje pomno åuvana dnevna ãifra,koju koriste kad zovu sobu za transakcije.

Zaposleni u prostoriji za transakcije nisu se trudili da zapamte ãifru:pisali su je na papiriñe i kaåili na vidna mesta. Tog novembarskog danaRifkin je imao poseban razlog za posetu. Æeleo je da osmotri taj papiriñ.

Stigavãi u sobu za transakcije, zapisao je neke podatke, navodno da bise uverio da ñe se rezervni sistem vaàano uklopiti sa postojeñim sistemima.U meœuvremenu, potajno je proåitao bezbednosnu ãifru s paråeta papira izapamtio je. Izaãao je nakon nekoliko minuta. Kako je kasnije rekao, ose-ñao se kao da je upravo osvojio nagradu na lutriji.

U pitaçu je taj bankovni raåun u Ãvajcarskoj…

Napustivãi prostoriju oko 3 åasa poslepodne, uputio se pravo ka telefon-skoj govornici u mermernom holu zgrade, Ubacio je novåiñ i okrenuo brojprostorije za transfere. Potom je preuzeo tuœ identitet, ne predstavàajuñise viãe kao Stenli Rifkin, bankarski savetnik, nego kao Majk Hensen, ålanMeœunarodnog odseka banke.

Prema jednom izvoru, razgovor se odvijao pribliæno ovako:“Zdravo, ovde Majk Hensen iz Meœunarodnog”, rekao je mladoj æeni

koja se javila na telefon.Ona ga je upitala za broj kancelarije. To je bila uobiåajena procedura,

pa je on bio spreman: “286”, rekao je.

UMOB

, November 4, 2003 10:05 am


6

Deo

1: Iz

a kulis

a

Devojka je pitala: “Koja je ãifra?”Rifkin je rekao da mu je u tom trenutku adrenalin pojurio venama a srce

poskoåilo. Ravnoduãno je odgovorio: “4789”. Potom joj je dao nalog zaprenos “taåno deset miliona i dve stotine hiàada dolara” od firme IrvinTrast u Njujorku, na raåun u banci Vochud Handels u Cirihu u Ãvajcar-skoj, gde je prethodno veñ otvorio raåun.

Devojka potom reåe: “U redu, zabeleæila sam. A sad mi treba meœu-kancelarijski identifikacioni broj.”

Rifkina je oblio znoj; bilo je to neoåekivano pitaçe, neãto ãto mu jepromaklo za vreme priprema. Odglumio je da je sve u najboàem redu, iodmah je hladnokrvno odgovorio: “Saåekajte da proverim; odmah ñu vaspozvati.” Ponovo je promenio identitet i pozvao drugo odeàeçe u banci,ovog puta predstavàajuñi se kao zaposleni u prostoriji za transakcije. Do-bio je meœukancelarijski identifikacioni broj i odmah pozvao devojku.

Zapisala je broj i zahvalila mu se. (Ãto je, u tim okolnostima, bilo veo-ma ironiåno.)

Privoœeçe kraju

Nekoliko dana kasnije Rifkin je odleteo u Ãvajcarsku i podigao gotovinu.Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 milionadolara. Vratio se avionom, i proãao kroz carinu Sjediçenih Dræava sdraguàima skrivenim u pojasu za novac. Uspela mu je najveña pàaåkabanke u istoriji – a poåinio ju je bez piãtoàa, pa åak i bez raåunara. Zaåu-do, çegova ludorija je na kraju dospela na stranice

Ginisove kçige svetskihrekorda

u kategoriji “najveña raåunarska prevara”.Stenli Rifkin je primenio umetnost obmane – veãtine i tehnike koje se

danas, na engleskom, nazivaju

social engineering

. Detaàno planiraçe i na-darenost za ophoœeçe s àudima zapravo je sve ãto mu je bilo potrebno.

Upravo time se bavi ova kçiga – metodama obmane (za koje je pisacovih redova pravi struåçak) i naåinima odbrane od çih.

PRIRODA PRETNJE

Priåa o Rifkinu savrãeno objaãçava kako oseñaj sigurnosti moæe bitivaràiv. Ovakvi sluåajevi – moæda ne kraœa 10 miliona dolara, ali ipak ne-poæeàni – deãavaju se

svakodnevno

. Moæda upravo sada gubite novac, ili

UMOB

, November 4, 2003 10:05 am


7

Poglavlje 1

: Najslab

ija taåka bezb

ednosn

og sistem

a

vam neko krade planove o novom proizvodu, a da toga niste ni svesni.Ako se to vaãem preduzeñu joã nije dogodilo, ne postavàa se pitaçe

da li

ñe, veñ

kada

ñe to biti.

Sve veña zabrinutost

Institut za raåunarsku bezbednost objavio je u svom izveãtaju o raåunar-skom kriminalu iz 2001. godine da je 85% ispitanih organizacija otkrilonaruãavaçe raåunarskog bezbednosnog sistema u prethodnih dvanaestmeseci. To je zapaçujuña cifra: samo petnaest od svakih sto ispitanih orga-nizacija mogle su da kaæu da kod çih nije bilo naruãavaça bezbednosnogsistema tokom te godine. Podjednako zapaçujuñi bio je i broj organizacijakoje su prijavile finansijske gubitke usled napada na raåunarski sistem: 64procenta. Viãe od pola ispitanih organizacija podleglo je finansijskim gu-bicima usled toga.

I to samo u jednoj godini

.Iz sopstvenog iskustva smatram da su brojke u ovakvim izveãtajima

pomalo preterane, poãto sumçam u ispravnost naåina anketiraça. Ali tone znaåi da ãteta nije ogromna – ogromna je. Preduzeña koja ne planirajuodbranu od napada sigurno ñe pretrpeti ãtetu.

Komercijalni proizvodi za bezbednost sistema, koji se koriste u veñinikompanija, uglavnom ãtite od uàeza amatera, poput devojaka i mladiñakoji se nazivaju “skriptaãi”. Ti klinci koji bi æeleli da postanu hakeri, a ko-riste softver preuzet s Interneta, uglavnom predstavàaju sitnu smetçu.Veñe gubitke nanose i pravu pretçu predstavàaju sofisticirani napadaåi.Njih motiviãe finansijska dobit a mete su im dobro definisane. Oni se us-meravaju na jednu po jednu metu, umesto da, poput amatera, pokuãajuda provale u ãto viãe sistema. Dok se amateri zadovoàavaju kvantitetom,profesionalci ciàaju na kvalitetne i vredne informacije.

Tehnoloãke mere poput uvoœeça ureœaja za identifikaciju, kontrole pri-stupa (za upravàaçe pristupom datotekama i sistemskim resursima), i in-staliraça sistema za otkrivaçe upada (elektronski ekvivalent alarma kojiupozoravaju na provalnike) neophodne su stavke u bezbednosnom sistemujedne firme. Skoro po pravilu, u danaãçe vreme jedna kompanija troãi viãenovca na kafu nego na mere zaãtite od napada na bezbednosni sistem.

Upravo kao ãto um kriminalca ne moæe da odoli iskuãeçu, um hakerateæi da zaobiœe moñne tehnoloãke bezbednosne sisteme. U mnogim sluåa-jevima oni to åine usmeravajuñi se na korisnike tehnologije.

UMOB

, November 4, 2003 10:05 am


8

Deo

1: Iz

a kulis

a

Naåini obmane

Kaæe se da je bezbedan raåunar samo onaj koji je iskàuåen. Pametnoreåeno, ali ipak netaåno:

obmaçivaå

nagovori nekoga da uœe u kancelarijui ukàuåi raåunar. Neprijateà koji æeli odreœenu informaciju do çe moæedoñi, obiåno na jedan od nekoliko naåina. To je samo pitaçe liånosti, vre-mena, strpàeça i upornosti. A onda umetnost obmane stupa na scenu.

Da bi zaobiãao mere bezbednosti, uàez, odnosno obmaçivaå, moranañi naåina da prevari lakovernog korisnika kako bi mu ovaj otkrio infor-macije, ili da na prevaru navede ærtvu, koja niãta ne sumça, da mu odobripristup. Kada neko prevari zaposlene, na çih izvrãi pritisak, ili ih obmaneda otkriju vaæne informacije ili stvore rupu u bezbednosnom sistemu, ni-kakva tehnologija ne moæe zaãtititi poslovaçe. Struåçaci ponekad uspejuda deãifruju poruku tako ãto pronaœu propust zahvaàujuñi kojem moguda zaobiœu tehnologiju za ãifriraçe. Upravo tako i obmaçivaåi pokuãava-ju da prevare zaposlene da bi zaobiãli bezbednosnu tehnologiju.

ZLOUPOTREBA POVERENJA

U veñini sluåajeva, uspeãni obmaçivaåi umeju dobro da se ophode s àu-dima. Ãarmantni su, àubazni i dopadàivi – a upravo su te osobine potrebneda bi se brzo uspostavili prisnost i povereçe. Iskusan napadaå moæe pri-stupiti gotovo svakoj informaciji pomoñu pomenute strategije i taktike.

Savesni struåçaci za tehnologiju mukotrpno su razvijali bezbednosnareãeça kako bi sveli rizike na najmaçu moguñu meru, a ipak su ispustilinajbitniju taåku podloænu napadima – àudski faktor. Uprkos intelektu,mi àudi – vi, ja, i svi ostali – i daàe predstavàamo najveñu bezbednosnupretçu jedni drugima.

Neiskvarenost u okviru organizacije

Prisetite se da je ARPANet (mreæa Agencije za napredne istraæivaåke pro-jekte Sekretarijata odbrane), prethodnik Interneta, projektovan za raz-menu informacija izmeœu vlade, istraæivaåkih i obrazovnih institucija. Ciàje bio sloboda informisaça, kao i napredak tehnologije. Mnoge obrazovneinstitucije su, dakle, instalirale prve raåunarske sisteme uz malu ili nimaluzaãtitu. Åuveni borac za slobodnu upotrebu softvera, Riåard Stolman, åakje odbio da zaãtiti lozinkom sopstveni nalog.

UMOB

, November 4, 2003 10:05 am


9

Poglavlje 1

: Najslab

ija taåka bezb

ednosn

og sistem

a

No, buduñi da se Internet koristi za elektronsku trgovinu, opasnostiod slabe zaãtite u ovom naãem umreæenom svetu znatno su se poveñale.Ipak, upotrebom tehnologije neñe se reãiti problem àudskog faktora uobezbeœeçu.

Pogledajte samo danaãçe aerodrome. Obezbeœeçe je postalo najbit-nije, pa ipak nas plaãe izveãtaji u medijima o putnicima koji su uspeli dazaobiœu mere bezbednosti i prenesu potencijalno oruæje pored punktovaza proveru. Kako je to moguñe u vreme kad su nam aerodromi u takvomstaçu pripravnosti? Da li detektori metala ne rade dobro? Ne. Problemnije u maãinama, veñ u àudskom faktoru: u àudima koji çima upravàaju.Aerodromski sluæbenici mogu dovesti Nacionalnu gardu, instalirati detek-tore metala i sisteme za prepoznavaçe lica, ali bi korisnije bilo obuåitiobiåne sluæbenike obezbeœeça da pravilno proveravaju putnike.

Isti problem se javàa u okviru dræavnih institucija, kompanija i obra-zovnih institucija ãirom sveta. Uprkos naporima struåçaka za bezbednost,informacije su ipak svugde raçive, a obmaçivaåi ñe ih i daàe smatratipoæeànim metama, sve dok se najslabija karika u lancu obezbeœeça– àudski åinilac – ne ojaåa.

Sada, viãe nego ikada ranije, moramo nauåiti da raskrstimo s pustimæeàama i postanemo svesniji metoda zlonamernika, koji pokuãavaju danaruãe poveràivost, integritet i dostupnost raåunarskih sistema i mreæa.Bili smo primorani da prihvatimo opreznu voæçu; vreme je da prihvatimoi nauåimo oprezan rad na raåunaru.

Pretça da ñe neko naruãiti vaãu privatnost ili informacioni sistem vaãekompanije moæda se ne åini stvarnom dok se napad zaista ne dogodi. Dabismo izbegli tako skupo otreæçeçe, moramo svi postati svesniji, obrazo-vaniji, oprezniji; moramo agresivno ãtititi vredne poslovne informacije,liåne podatke, i najbitniju infrastrukturu. Te mere opreza moramo poåetida sprovodimo danas.

TERORISTI I OBMANA

Naravno, prevara nije jedino sredstvo obmaçivaåa. Fiziåki terorizam jenajveña vest u medijima, te smo shvatili, kao nikada ranije, da je svetopasan. Civilizovanost je, ipak, samo prividan sjaj.

Nedavno pojaåani napori ameriåke vlade podigli su i nivo naãe svesti obezbednosti. Moramo biti u staçu pripravnosti i razumeti kako teroristipodlo meçaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u

UMOB

, November 4, 2003 10:05 am


10

Deo

1: Iz

a kulis

a

masu. Prikrivaju svoja prava uvereça dok kuju planove protiv nas; tako ko-riste trikove obmane sliåne onima o kojima ñete åitati na ovim stranicama.

Koliko ja znam, teroristi joã nisu primenili lukavstva obmane kako bi seuvukli u firme, postrojeça za navodçavaçe, elektrane ili druge najbitnijedelove naãe nacionalne infrastrukture, ali moguñnost postoji. Sasvim je la-ko. Nadam se da ñe ova kçiga poåeti da utiåe na podizaçe svesti o bez-bednosti na viãi nivo, te da ñe rukovodstva kompanija insistirati da se ubezbednosnom sistemu primene opisane procedure.

O OVOJ KNJIZI

Bezbednost preduzeña je pitaçe ravnoteæe. Usled suviãe slabe zaãtite,kompanija postaje raçiva, ali i preterano naglaãavaçe bezbednosti smetapri poslovaçu – koåi rast i prosperitet preduzeña. Izazov je nañi ravnoteæuizmeœu bezbednosti i produktivnosti.

Druge kçige o bezbednosti kompanija usredsreœuju se na hardversku isoftversku tehnologiju, a ne bave se u odgovarajuñoj meri najozbiànijompretçom od svih: obmaçivaçem àudi. Cià ove kçige je da objasni kakoste vi, vaãi saradnici i ostali zaposleni u vaãoj kompaniji predmet manipu-lacije i da informiãe o bedemima koje moæete podiñi da biste prestali dabudete ærtva. Kçiga se uglavnom usredsreœuje na ne-tehniåke metodekoje uàezi koriste da bi ukrali informacije, ugrozili celovitost podataka zakoje se veruje da su bezbedni, ili uniãtili neki proizvod kompanije.

Moj zadatak oteæava jednostavna istina: svakog åitaoca su veñ prevarilinajveñi struåçaci svih vremena iz oblasti obmane – çegovi roditeài. Naãlisu naåina da vas privole, “za sopstveno dobro”, da åinite ono ãto su onismatrali najboàim. Roditeài, odliåni manipulatori, postupaju kao profe-sionalni obmaçivaåi koji izmiãàaju vrlo uveràive priåe, razloge i oprav-daça za dostizaçe sopstvenih ciàeva. Da, nas su oblikovali roditeài, kojinas dobronamerno (a ponekad i ne tako dobronamerno) obmaçuju.

Buduñi da smo vaspitavani uz obmane, postali smo podloæni manipu-laciji. Æiveli bismo drugaåije da smo stalno morali da budemo na oprezu,nepoveràivi prema drugima i zabrinuti da bismo mogli postati naivnameta nekoga ko pokuãava da nas iskoristi. U savrãenom svetu podrazume-valo bi se da verujemo drugima, uvereni da su àudi koje sreñemo iskreni ida im se moæe verovati. Ali ne æivimo u savrãenom svetu, pa moramo dauveæbavamo odreœene mere opreza kako bismo spreåili pokuãaje nepri-jateàa da nas prevare.

UMOB

, November 4, 2003 10:05 am


11

Poglavlje 1

: Najslab

ija taåka bezb

ednosn

og sistem

a

Glavne delove ove kçige, drugi i treñi, saåiçavaju priåe o obmani nadelu. U tim delovima biñe reåi o sledeñem:

• O onome ãto su telefonski prevaranti otkrili pre viãe godina: kako odtelefonske kompanije dobiti broj koji ne postoji u imeniku.

• O nekoliko razliåitih metoda koje napadaåi primeçuju da bi naveliåak i oprezne, sumçiåave sluæbenike da im obelodane svoja kori-sniåka imena i lozinke.

• O tome kako je jedan upravnik raåunarskog centra saraœivao snapadaåem i omoguñio mu da ukrade informacije o najpoveràivijemproizvodu çegovog preduzeña.

• O postupcima kojima je sluæbenica navedena da uåita softver kojiãpijunira svaki çen pritisak na taster i elektronskom poãtom ãaàeizveãtaje napadaåu.

• O tome kako privatni istraæiteài dolaze do informacija o preduze-ñima i pojedincima, od åega ñete se, u to budite uvereni, najeæiti.

Dok budete åitali neke od priåa u drugom i treñem delu, moæda ñetepomisliti da nisu moguñe, da niko ne moæe tako lagati, koristiti se pràa-vim trikovima i spletkama. Suãtina je da se opisani dogaœaji mogu odigratii zaista se deãavaju; mnogi od çih se svakodnevno zbivaju negde u svetu, amoæda åak i u vaãem preduzeñu dok åitate ovu kçigu.

Ova kçiga ñe vam zaista otvoriti oåi kad je u pitaçu zaãtita poslovaça.Nauåiñe vas da se branite od obmane na liånom planu, da biste zaãtitili in-tegritet informacija u privatnom æivotu.

U åetvrtom delu kçige preñi ñemo na praktiåne teme. Moj cià je davam pomognem da napravite neophodne poslovne pravilnike i podignetenivo svesti sluæbenika, kako biste na najmaçu moguñu meru sveli moguñ-nost da vaã zaposleni bude obmanut. Razumevaçe strategija, metoda i tak-tike obmane pripremiñe vas da upotrebite razumna sredstva za zaãtituinformacija, ne dovodeñi u pitaçe produktivnost kompanije.

Ukratko, napisao sam ovu kçigu da bih podigao nivo svesti o ozbiànojpretçi koju obmaçivaçe predstavàa, kako biste mogli da obezbedite fir-mu i zaposlene i budete sigurni da vas niko ne moæe obmanuti.

Ili bi moæda trebalo da kaæem da je mnogo maçe verovatno da ñe vas

ikada ponovo

obmanuti.

2

deo

UMOB

, November 4, 2003 10:07 am


Umeñenapadaåa

UMOB

, November 4, 2003 10:07 am


2

poglavlje

Kada bezazlenainformacija nijetako bezazlena

ta veñina àudi smatra pravom pretçom obmane? Ãta bi vaàalouåiniti da biste bili na oprezu?

Ako je cià napadaåa da se domogne neåeg veoma vrednog – recimo,izuzetno vaæne komponente intelektualnog vlasniãtva kompanije – onda jemoæda, figurativno govoreñi, potreban samo åvrãñi sef i jaåe naoruæanoobezbeœeçe. Je li tako?

Naruãavaçe bezbednosnog sistema preduzeña, zapravo, obiåno zapo-åiçe tako ãto se “negativac” domogne neke informacije ili dokumenta kojise åine toliko bezazlenim, svakodnevnim i nevaænim, da mnogi zaposleniu organizaciji ne vide zaãto bi bili zaãtiñeni i poveràivi.

SKRIVENA VREDNOST INFORMACIJA

Obmaçivaå smatra veñinu naoko bezazlenih informacija vrednim, jermogu igrati odluåujuñu ulogu u çegovim pokuãajima da se zaodenevelom uveràivosti.

Na stranicama koje slede, pokazañu vam tehnike obmane tako ãto ñuvam omoguñiti da i sami “prisustvujete” napadima. Ponekad ñu prikazivati

ã

UMOB

, November 4, 2003 10:07 am


16

Deo

2: U

meñ

e nap

adaå

a

dogaœaje iz ugla ærtve, pa ñete moñi da se poistovetite s çom i ocenitekako biste vi (ili moæda neko od saradnika ili zaposlenih) reagovali u datojsituaciji. Veñinu tih dogaœaja posmatrañete i iz ugla napadaåa.

U prvoj priåi reå je o raçivosti finansijskog poslovaça.

CREDITCHEX

Britanci su dugo imali veoma krut bankarski sistem. Kao obiåan, poãtengraœanin niste mogli da uœete u banku i otvorite raåun. Ne, banka bi raz-motrila vaã zahtev tek kad bi vam çihov pouzdan klijent dao preporuku.

Sasvim je razliåito, naravno, prividno otvoreno savremeno bankarstvo.Lakoña s kojom se u danaãçe moderno vreme posluje, najboàe se oåitujeu prijateàskoj, demokratskoj Americi, gde gotovo svako moæe uñi u bankui lako otvoriti tekuñi raåun, je li tako? Pa, ne baã. Banke nerado otvarajuraåune onima koji su moæda ranije ispisivali åekove bez pokriña, ãto je irazumàivo – u banci je åek bez pokriña isto toliko dobrodoãao kao i prija-va zbog pàaåke banke ili optuæba za proneveru. Stoga je u svakoj bancistandardna procedura da se brzo proveri novi klijent.

Jedna od glavnih kompanija koju banke unajmàuju radi ovakvih infor-macija jeste CreditChex. Oni svojim klijentima obezbeœuju dragoceneusluge, ali poput mnogih preduzeña, mogu nesvesno pruæiti zgodne uslugei obmaçivaåima, koji znaju kako do çih da doœu.

Prvi poziv: Kim Endrjuz

“Nacionalna banka, Kim je kraj telefona. Da li biste æeleli daotvorite raåun?”

“Zdravo, Kim. Hteo bih neãto da vas pitam. Da li vi koristiteusluge firme CreditChex?”

“Da.”

“Kad im telefonirate, kako zovete broj koji im saopãtite – je li to‘Identifikacioni broj filijale’?”

Usledila je stanka; razmatrala je zahtev, pitajuñi se o åemu seradi i da li treba da odgovori.

Sagovornik je brzo nastavio, ne trepnuvãi.

UMOB

, November 4, 2003 10:07 am


17

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

“Vidite, Kim, ja piãem kçigu o privatnim istraæiteàima.”

“Da”, reåe, odgovarajuñi na pitaçe s novosteåenom sigurnoãñu,zadovoàna ãto pomaæe piscu.

“Dakle, to se zove identifikacioni broj filijale, je li tako?”

“A-ha.”

“Dobro, sjajno. Hteo sam da budem siguran da je to praviizraz. Za kçigu. Hvala vam na pomoñi. Do viœeça, Kim.”

Drugi poziv: Kris Talbert

“Nacionalna banka, odsek za nove raåune, Kris je kraj telefona.”

“Zdravo, Kris. Ovde Aleks”, reåe glas iz sluãalice. “Ja sam izodeàeça za korisniåke usluge firme CreditChex. Sprovo-dimo anketu da bismo poboàãali uslugu. Moæete li da miposvetite nekoliko minuta?”

Pristala je, pa je nastavio.

“U koje vreme je vaã ogranak otvoren za klijente?” Odgovorilaje, i nastavila da odgovara na niz çegovih pitaça.

“Koliko zaposlenih u vaãem ogranku koristi naãe usluge?”

“Koliko åesto nam upuñujete zahteve?”

“Koje od naãih besplatnih brojeva smo vam dodelili?”

“Jesu li naãi sluæbenici uvek àubazni?”

“Koliko brzo reagujemo na vaãe zahteve?”

“Koliko dugo radite u ovoj banci?”

“Koji identifikacioni broj filijale trenutno koristite?”

“Da li ste ikada naiãli na nedoslednosti u informacijama kojesmo vam obezbedili?”

“Kako biste unapredili naãu uslugu?”

“Da li biste popunili upitnike koje bismo poslali vaãemogranku?”

Ona se s tim sloæila, joã malo su proñaskali, potom je on spu-stio sluãalicu, a Kris se vratila svom poslu.

UMOB

, November 4, 2003 10:07 am


18

Deo

2: U

meñ

e nap

adaå

a

Treñi poziv: Henri Mekinsi

“CreditChex, ovde Henri Mekinsi. Ãta mogu da uåinim za vas?”

Osoba s druge strane æice predstavila se kao sluæbenik Nacio-nalne banke. Dao mu je odgovarajuñi identifikacioni broj fili-jale, a potom ime i broj socijalnog osiguraça osobe o kojojsu mu trebali podaci. Henri je pitao za datum roœeça, a onmu je i to rekao.

Nakon nekoliko trenutaka, Henri je proåitao podatke koji su muse pojavili na ekranu.

“Vels Fargo, ispisao je åekove bez pokriña 1998. godine, jed-nom, na sumu od 2066 dolara.” Åek bez pokriña je poznatbankarski izraz za åekove koji su upotrebàeni kad na raåununema dovoàno novca da ispisani iznos pokrije.

“Da li je kasnije bilo neåeg sliånog?”

“Ne.”

“ Je li bilo drugih provera?”

“Da vidimo. Da, dvaput, i to oba puta proãlog meseca. Zahtevesu uputili Third United Credit Union iz Åikaga i SchenectadyMutual Investments.” Spetàao se pri potoçem nazivu, pa jemorao da izgovori slovo po slovo. “Ovi drugi su iz dræaveNjujork”, dodao je.

Kako radi privatni istraæiteà

Sva tri puta poziv je uputila ista osoba: privatni istraæiteà kojeg ñemo zvatiOskar Grejs. Grejs je imao novog klijenta. S obzirom na to da je do prenekoliko meseci bio policajac, ustanovio je da mu ovaj novi posao leæi, alimorao je viãe da se potrudi i bude inventivniji. Posao je bio baã izazovan.

Detektivi iz priåa – Sem Spejd, Filip Marlo i çima sliåni – provodilisu duge noñne sate u kolima, åekajuñi da uhvate nevernog supruænika nadelu. I pravi detektivi rade tako. No, oni istraæuju za “zarañene” supruæni-ke i na drugi naåin, o kojem se maçe piãe, a isto toliko je vaæan. Ta meto-da se viãe oslaça na veãtinu obmane nego na ubijaçe dosade pri noñnombdeçu.

Oskarov klijent bila je dama koja je, åinilo se, imala sasvim pristojanbudæet za odeñu i nakit. Jednog dana je uãetala u çegovu kancelariju i selana koænu stolicu, jedinu na kojoj nisu bili naslagani papiri. Smestila je svoju

UMOB

, November 4, 2003 10:07 am


19

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

veliku taãnu marke Guåi na çegov radni sto s logotipom okrenutim premaçemu, i izjavila da planira da traæi razvod od muæa, ali je priznala da postoji“jedan mali problem”.

Åinilo se da je çen muæ bio korak ispred. Veñ je podigao gotovinu sçihove ãtedne kçiæice, i joã veñu sumu s bankovnog raåuna. Htela je dazna gde je skrivena çihova imovina, a çen advokat za razvod uopãte jojnije bio od pomoñi. Grejs je pretpostavàao da je advokat jedan od onihuspeãnih savetnika iz boàe gradske åetvrti, te da neñe da pràa ruke u po-trazi za novcem.

Da li Grejs moæe da pomogne?Uverio ju je da nema nikakvih problema, rekao joj cenu, saopãtio da ñe

troãkovi biti naplañeni posebno i uzeo åek s prvim delom iznosa.Tek potom se suoåio s problemom. Ãta uåiniti ako se nikad ranije niste

sreli sa sliånim problemom i zapravo ne znate odakle da poånete da bisteutvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove priåe,onako kako nam je ispriåao naã izvor.

Znao sam za CreditChex i naåin na koji banke koriste tu organizaciju– moja bivãa æena je nekad radila u banci. Ali nisam znao terminologiju iprocedure, a da sam pitao svoju bivãu æenu, samo bih izgubio vreme.

Prvi korak: nauåite pravilno terminologiju. Kad traæite informacije, tru-dite se da zvuåite kao da znate o åemu priåate. U prvoj banci koju sam naz-vao, prva gospoœica, Kim, bila je podozriva kad sam je upitao kako seidentifikuju kad pozovu CreditChex. Oklevala je; nije znala da li da mikaæe ili ne. Da li je to osujetilo moje namere? Nimalo. Zapravo, çeno okle-vaçe bilo je za mene vaæan signal da treba da pruæim verodostojno obra-zloæeçe. Kad sam joj rekao da istraæujem za kçigu, prestala je da budesumçiåava. Samo kaæete da ste pisac ili scenarista, i svi vam jedu iz ruke.

Imala je ona i druge informacije koje bi mi bile korisne – poput poda-taka koje CreditChex zahteva radi identifikacije osobe koju proveravate,ãta smete da ih pitate, i najvaænije, koji je identifikacioni broj çene filijale.Tako sam hteo da je ispitam, kad me je çeno oklevaçe upozorilo da nesràam. Poverovala je u priåu o istraæivaçu za kçigu, ali je prethodno biladosta sumçiåava. Da je od samog poåetka bila otvorenija, zatraæio bih odçe joã detaàa o bankarskim procedurama.

UMOB

, November 4, 2003 10:07 am


20

Deo

2: U

meñ

e nap

adaå

a

Morate se voditi instinktom, i sluãati paæàivo ãta “ærtva” govori i kakoto izgovara. Ova mi je dama zvuåala dovoàno pametno – verovatno bi seoglasio alarm da sam nastavio da joj postavàam suviãe neobiånih pitaça.Iako nije znala ko sam, niti s kog broja zovem, u ovom poslu nikako neæelite da se proåuje da neko zove kako bi dobio informacije o poslovaçupa treba biti na oprezu. Razlog je ãto ne æelite da vam se izvor ugasi – moæ-da ñete ponovo morati da pozovete istu kancelariju neki drugi put.

Uvek obrañam paæçu na male signale. Pomoñu çih proceçujem koli-ko je osoba spremna za saradçu, u opsegu od: “Zvuåiã kao prijatna osobai sve ti verujem” do: “Zovite policiju, obavestite Nacionalnu gardu, ovajneãto gadno smera”.

Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga izdrugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je izprve. Ovde je taktika da se vaæna pitaça ubace izmeœu nebitnih koja stvara-ju oseñaj uveràivosti. Pre nego ãto sam je pitao o identifikacionom broju çi-hove filijale kod firme CreditChex, testirao sam je u posledçem trenutkupostavivãi joj pitaçe liåne prirode o tome koliko dugo radi u banci.

Pitaçe liåne prirode je poput nagazne mine – neki ga prekoraåe niãtane primetivãi, dok drugima eksplodira pa se brzo povuku na sigurno. Dak-le, ako joj postavim takvo pitaçe i ona odgovori, a ne promeni ton, toznaåi da verovatno nije sumçiåava. Slobodno mogu da postavim kàuånopitaçe. Neñe posumçati i najverovatnije ñe odgovoriti.

Evo joã neåega ãto dobar privatni istraæiteà zna: nikada ne prekidajterazgovor nakon ãto se domognete kàuåne informacije. Postavite joã dva-tripitaça, malo proñaskajte, i tek onda moæete prekinuti. Kasnije ñe se ærtvaverovatno setiti nekoliko posledçih pitaça – ako se iåega seti. Ostalo seuglavnom zaboravàa.

ÆRTVA Reå je o prevarenoj osobi.UGASITI IZVOR (engl. burn the source) Kaæe se da je napadaåugasio izvor kad dozvoli da ærtva prepozna da je reå o napadu. Kadærtva postane svesna napada i o tome obavesti ostale zaposlene irukovodstvo, izuzetno je teãko ponovo upotrebiti isti izvor u buduñimnapadima.

terminologija

UMOB

, November 4, 2003 10:07 am


21

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

I tako mi je Kris dala identifikacioni broj çihove filijale, kao i telefon-ski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreñniji dasam uspeo da je pitam koliko podataka se moæe traæiti od firme Credit-Chex, ali sam smatrao da je boàe da ne preterujem.

Bilo je to kao da imam neispuçen åek kod firme CreditChex. Mogaosam ih nazvati i dobiti informacije kad god sam æeleo. Nisam åak ni moraoda platim za tu uslugu. Kako se ispostavilo, sluæbenik kompanije Credit-Chex rado mi je dao upravo one podatke koje sam traæio: dve banke kodkojih je muæ moje klijentiçe nedavno predao molbu da mu se otvoriraåun. Pa, gde je bio novac koji traæi çegova æena, koja ñe mu uskoropostati bivãa? Gde drugde nego u bankama koje je momak iz kompanijeCreditChex naveo.

Analiza prevare

Åitava ova prevara zasnovana je na jednoj od osnovnih taktika obma-çivaça: na pristupu informacijama koje zaposleni pogreãno smatrajubezazlenima.

Prva sluæbenica je potvrdila termin za broj koji se koristi kad se zoveCreditChex: identifikacioni broj filijale. Druga je obelodanila telefonskibroj na koji se zove CreditChex, kao i najbitniju informaciju, identifika-cioni broj te banke. Åinilo se da su joj svi ti podaci potpuno bezazleni. Nakraju krajeva, ona je mislila da razgovara s nekim iz kompanije Credit-Chex, pa ãta ãkodi ako im se kaæe broj?

Sve ovo je bilo samo priprema za treñi poziv. Grejs je imao sve ãto mutreba da bi telefonirao firmi CreditChex, predstavio se kao sluæbenik jedneod banaka s kojom saraœuju, Nacionalne banke, i zatraæio æeàene infor-macije.

Grejs je bio veãt u kraœi informacija poput nekog prevaranta koji lakoizmami novac, a imao je i pravog talenta da oceni àude. Znao je da kàuå-na pitaça vaàa smestiti izmeœu nebitnih. Znao je da ñe pitaçem liåne pri-rode utvrditi koliko je druga sluæbenica spremna za saradçu, pre nego ãtoju je “nevino” upitao za identifikacioni broj filijale.

Da prva sluæbenica nije potvrdila izraz za broj koji se koristi pri proverikod firme CreditChex, bilo bi gotovo nemoguñe nastaviti. Taj podatak jetoliko rasprostraçen u bankarstvu, da se åini nevaænim – ãto je upravoklasiåan primer naoko bezazlene informacije. Ali druga sluæbenica, Kris,nije trebalo tako olako da odgovara na pitaça, a da prethodno ne proveri

UMOB

, November 4, 2003 10:07 am


22

Deo

2: U

meñ

e nap

adaå

a

da li je sagovornik onaj za koga se izdaje. Trebalo je, u najmaçu ruku, dazapiãe çegovo ime i telefonski broj i da ga ona pozove. Ako bi se kasnijepojavio problem, mogla je imati podatak o tome s kog je telefona osobazvala. U tom sluåaju bi napadaåu bilo mnogo teæe da se laæno predstavikao sluæbenik firme CreditChex.

porukamitnikova

Identifikacioni broj filijale je u ovom sluåaju isto ãto i lozinka. Kad bi seosobàe banke prema çemu odnosilo kao prema PIN kodu za bankomate,moæda bi shvatili koliko je takva informacija poveràiva. Da li i u vaãoj orga-

nizaciji postoji interni kôd ili broj kojem osobàe ne pridaje dovoàno znaåaja?

Joã boàe bi bilo da je sluæbenica pozvala CreditChex koristeñi brojkojim se banka inaåe sluæi – a ne broj koji bi joj sagovornik eventualno dao– kako bi se uverila da on zaista radi u pomenutoj kompaniji, i da oni uisti-nu sprovode anketu meœu svojim klijentima. Meœutim, kada se uzme uobzir da se danas, u realnom svetu, radi toliko da niko nema viãka vremena,previãe bi bilo oåekivati poziv radi provere, osim u sluåaju da zaposleni po-sumça da je u pitaçu napad.

ZAMKA ZA INÆENJERE

Svi znaju da agencije za zapoãàavaçe koriste metode obmaçivaça kakobi vrbovali talentovane kandidate. Evo primera kako se to radi.

Krajem devedesetih, jedna agencija za zapoãàavaçe, koja baã i ne dræido etike, potpisala je ugovor s novim klijentom, kompanijom koja traæiinæeçere elektrotehnike s iskustvom u telekomunikacijama. Voœa projek-ta bila je dama obdarena dubokim, seksi glasom koji je nauåila da iskoristida bi brzo uspostavila povereçe i prisnost preko telefona.

Odluåila je da izvrãi pohod na davaoca usluga mobilne telefonije, davidi moæe li tamo nañi neke inæeçere koji bi se naãli u iskuãeçu da preœuna drugu stranu, kod konkurencije. Naravno, nije mogla da pozovecentralu i kaæe: “Spojite me sa svakim ko ima pet godina inæeçerskogiskustva”. Umesto toga, iz razloga koji ñe uskoro postati jasni, zapoåela jepotragu za talentovanim osobàem tako ãto je zatraæila jedan podatak kojinaizgled nije uopãte bitan, i koji sluæbenici te kompanije daju gotovo sva-kom ko ga zatraæi.

UMOB

, November 4, 2003 10:07 am


23

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

Prvi poziv: prijemno odeàeçe

Napadaå, predstavàajuñi se kao Didi Sends, poziva upravukompanije za telekomunikacione usluge. Evo kako je razgovortekao.

Sluæbenica prijemnog odeàeça

: Dobar dan. Ovde Meri, ãtamogu da uåinim za vas?

Didi

: Moæete li me spojiti s odeàeçem za transport?

S:

Nisam sigurna da li tako neãto kod nas postoji. Pogledañu uimeniku. Ko zove?

D:

Didi.

S:

Jeste li u zgradi, ili…?

D:

Ne, van zgrade sam.

S:

Kako se prezivate?

D:

Sends. Didi Sends. Imala sam lokal transportnog odeàeça,ali sam ga zaboravila.

S:

Trenutak.

Da bi odagnala sumçu, Didi je nonãalantno, radi same kon-verzacije, postavila pitaçe osmiãàeno tako da sagovornikauveri da je ona “domaña”, da poznaje firmu.

D:

U kojoj se vi zgradi nalazite – u Lejkvjuu ili u centrali?

S:

U centrali. (

stanka

) Broj je 805 555 6469.

Da bi obezbedila rezervu u sluåaju da putem poziva transport-nom odeàeçu ne dobije ono ãto joj treba, Didi je takoœezatraæila da razgovara s odeàeçem za nekretnine. Sluæbenicajoj je dala i taj broj. Kad je Didi zamolila da je spoji s transport-nim odeàeçem, ova je to pokuãala, ali je veza bila zauzeta.

Tada je Didi zamolila da joj da

treñi

telefonski broj, broj ode-àeça za platni promet, smeãten u prostorijama firme u Ostinuu Teksasu. Sluæbenica ju je zamolila da malo saåeka i za tre-nutak spustila sluãalicu. Da li je javila obezbeœeçu da imasumçiv telefonski poziv i da misli da je u pitaçu prevara? Nisluåajno. A ni Didi se nije nimalo brinula. Bila je malo dosadna,ali je to sluæbenici bio deo obiånog radnog dana. Proãao jeotprilike minut, a potom je sluæbenica ponovo uzela vezu,pogledala broj odeàeça za platni promet, pokuãala da dobijevezu i spojila Didi s çima.

UMOB

, November 4, 2003 10:07 am


24

Deo

2: U

meñ

e nap

adaå

a

Drugi poziv: Pegi

Sledeñi poziv je tekao ovako:

Pegi:

Odeàeçe za platni promet, ovde Pegi.

Didi:

Zdravo, Pegi. Ovde Didi iz Tauzend Ouksa.

P:

Zdravo, Didi.

D:

Kako si?

P:

Dobro.

Didi je potom upotrebila poznat izraz za kôd kojim se troãkovidodeàuju budæetu odreœene organizacije ili radne grupe:

D:

Odliåno. Kaæi mi kako da doœem do konta za nekoodeàeçe.

P:

Moraã se obratiti analitiåaru budæeta tog odeàeça.

D:

Znaã li ko analizira budæet za Tauzend Ouks – za upravu?Pokuãavam da ispunim neki obrazac, a ne znam odgovara-juñi konto.

P:

Ja samo znam da onaj kome treba konto zove svog anali-tiåara budæeta.

D:

Imaã li ti konto svog odseka tu u Teksasu?

P:

Mi imamo svoj konto, ali nam ne daju åitav spisak.

D:

Koliko cifara ima? Na primer, koji je vaã konto?

P:

Åekaj, jesi li ti u okviru 9WC ili SAT?

Didi nije imala pojma na koje se odseke ili odeàeça te skrañe-nice odnose, ali nije bilo ni vaæno. Odgovorila je:

D:

9WC.

P:

Onda obiåno ima åetiri cifre. Gde reåe da radiã?

D:

U upravi – u Tauzend Ouksu.

P:

Da, evo konta za Tauzend Ouks. 1A5N, N kao Nensi.

Zahvaàujuñi tome ãto je provela dovoàno dugo vremena snekim ko je spreman da pomogne, Didi je dobila konto koji jojje bio potreban. A to je jedan od onih podataka koje niko i nepomisli da zaãtiti, jer se åini kao neãto ãto àudima van firme nemoæe biti ni najmaçe vaæno.

UMOB

, November 4, 2003 10:07 am


25

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

Treñi poziv: koristan pogreãan broj

Sledeñi Didin zadatak bio je da pretvori dobijeni konto u neãtozaista vredno, poput æetona za poker.

Otpoåela je nazvavãi odeàeçe za nekretnine, pretvarajuñi seda je dobila pogreãan broj. Prvo je rekla: “Izvinite ãto smetam,ali…”, a potom izdeklamovala da je koleginica koja je izgubilatelefonski imenik kompanije i pitala koga treba da zove da bidobila nov. Muãki glas je odgovorio da je ãtampana verzijazastarela, jer se imenik moæe nañi na intranetu.

Didi odvrati da viãe voli da koristi ãtampanu verziju, a on joj nato reåe da pozove Izdavaãtvo. Potom je àubazno potraæio çihovbroj i dao joj ga, a da ga ona to nije ni zamolila – moæda samoda bi malo duæe razgovarao s damom takvog glasa.

Åetvrti poziv: Bart u Izdavaãtvu

Nazvavãi Izdavaãtvo, razgovarala je s åovekom po imenu Bart.Rekla je da radi u Tauzend Ouksu i da imaju novog savetnikakojem treba ãtampana kopija telefonskog imenika kompanije.Rekla je da savetniku tako viãe odgovara, bez obzira na to ãtoje ãtampana verzija unekoliko zastarela. Bart joj reåe da morada ispuni obrazac za trebovaçe i poãaàe ga çemu.

Didi odvrati da joj je nestalo obrazaca i da je u guævi, i zamolilaga da bude tako dobar i ispuni ga umesto çe. Pristao je,nekako isuviãe oduãevàeno, a potom mu je Didi izdiktiralapojedine podatke. Ãto se tiåe adrese izmiãàenog savetnika,otegnuto je izdiktirala neãto ãto se u svetu obmane nazivalaæna adresa. U ovom sluåaju, navela je adresu firme MailBoxes Etc., kod koje je çena kompanija iznajmàivala poãtan-ske sanduåiñe upravo za ovakve prilike.

Prethodni trud se sada isplatio. “Slaçe imenika se naplañuje.”U redu – Didi mu je dala konto za Tauzend Ouks:

“1A5N, N kao Nensi.”

UMOB

, November 4, 2003 10:07 am


26

Deo

2: U

meñ

e nap

adaå

a

Nakon nekoliko dana, kad je telefonski imenik kompanije sti-gao, Didi je shvatila da joj se trud joã viãe isplatio nego ãto jeoåekivala – u çemu se nisu nalazili samo puki spiskovi imena itelefonskih brojeva, veñ je bilo prikazano i ko za koga radi,dakle poslovna struktura åitave organizacije.

Dama promuklog glasa bila je spremna da telefonom vrbujekadar. Na prevaru je doãla do informacija neophodnih da biotpoåela s napadom, i to sve zahvaàujuñi svom talentu zaophoœeçe s àudima, koji svaki obmaçivaå mora da dovede doperfekcije. Sad je mogla da ubere plodove svog rada.

Analiza prevare

Ovu obmanu Didi je poåela tako ãto je nabavila brojeve tri odeàeça uciànoj kompaniji. To je bilo lako, jer brojevi koje je traæila nisu tajna, apogotovo zaposlenima. Obmaçivaå nauåi da zvuåi kao “domañi”, a Didije bila spretna u toj igri. Pomoñu jednog od tih telefonskih brojeva doãla jedo kontnog broja, koji je potom upotrebila kako bi se domogla primerkafirminog telefonskog imenika zaposlenih.

Bilo je potrebno: da zvuåi prijateàski, da koristi odreœene poslovneizraze, i, kod posledçe “ærtve”, da ubaci malo verbalnog koketiraça.

Neophodno joj je bilo joã neãto ãto se ne stiåe lako – veãtina manipula-cije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.

porukamitnikova

Baã kao i deliñi slagalice, svaka informacija ponaosob moæe biti nebitna.Meœutim, kad se delovi slagalice spoje, dobija se jasna slika. U ovom sluåaju,

slika koju je manipulator video bila je åitava interna struktura kompanije.

LAÆNA ADRESA (engl. mail drop) U obmaçivaçu, to je izraz zaprivremeni poãtanski fah, uglavnom pod laænim imenom, koji sluæi dau çega stiæu dokumenta ili paketi koje “ærtve” na prevaru poãaàu.

terminologija

UMOB

, November 4, 2003 10:07 am


27

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

JOÃ NEKE “BEZVREDNE” INFORMACIJE

Osim kontnog broja i internih telefonskih lokala, koje joã naizgled bez-vredne informacije mogu biti izuzetno vaæne vaãem neprijateàu?

Telefonski poziv za Pitera Ejblsa

“Zdravo”, kaæe glas s druge strane æice. “Ovde Tom iz kompa-nije Parkharst Trevl. Vaãe karte za San Francisko su spremne.Hoñete li da vam ih dostavimo, ili ñete sami doñi po çih?”

“Za San Francisko?” pita Piter. “ Ja ne putujem u San Francisko.”

“Da li je to Piter Ejbls?”

“Da, ali ja ne planiram da putujem.”

“E pa”, kaæe sagovornik prijazno se nasmejavãi, “ jeste li sigurnida ne æelite da odete u San Francisko?”

“Ako mislite da moæete nagovoriti mog ãefa…” odvraña Piter,nastavàajuñi ovaj prijateàski razgovor.

“Ovo je izgleda zabuna”, kaæe sagovornik. “U naãem sistemurezerviãemo putovaça pod brojem zaposlenih. Moæda jeneko dao pogreãan broj. Koji je vaã broj?”

Piter mu posluãno izdeklamuje broj. A zaãto da ne? Taj broj seupisuje na gotovo svaki kadrovski obrazac, i mnogi iz kompa-nije mu imaju pristup – kadrovsko odeàeçe, obraåunsko ode-àeçe i, oåigledno, ova turistiåka agencija. Niko ne smatra brojzaposlenog tajnom. Kakve ima veze?

Nije teãko proniknuti u odgovor. Moæda su za efektno preruãa-vaçe, odnosno napadaåevo preuzimaçe tuœeg identiteta,potrebna samo dva-tri podatka. Ako se domogne imena sluæ-benika, çegovog telefonskog broja, broja zaposlenog i, bilo bidobro, imena i telefonskog broja çegovog nadreœenog, åak imaçe uspeãan obmaçivaå imañe gotovo sve ãto mu je obiånopotrebno da zvuåi uveràivo sledeñoj ærtvi koju pozove.

Da je neko ko se predstavio da radi u drugom odeàeçu vaãefirme juåe nazvao, dao vam neki verodostojan razlog i zatraæiovaã broj zaposlenog, da li biste mu ga nerado dali?

Uzgred budi reåeno, koji je vaã matiåni broj?

UMOB

, November 4, 2003 10:07 am


28

Deo

2: U

meñ

e nap

adaå

a

porukamitnikova

Pouka priåe je ta da ne treba obelodaçivati liåne podatke niti interne kompa-nijske informacije ili ãifre nikome, ukoliko glas sagovornika ne zvuåi poznato

ili niste sigurni da li ima pravo da ih zatraæi.

SPREÅAVANJE PREVARE

Kompanija mora objasniti zaposlenima da moæe doñi do ozbiànih posledi-ca ako se s informacijama, koje nisu javne prirode, ne postupa na pravinaåin. Dobro osmiãàena politika zaãtite informacija, zajedno sa odgovara-juñim obrazovaçem i uveæbavaçem, naglo ñe podiñi na viãi nivo svestzaposlenih o tome kako se vaàa odnositi prema poslovnim informacijamau okviru kompanije. Klasifikacija podataka pomoñi ñe vam da primeniteodgovarajuña pravila kad je u pitaçu çihovo obelodaçivaçe. Ako takvaklasifikacija ne postoji, svi interni podaci moraju se smatrati poveràivima,ukoliko nije drugaåije odreœeno.

Preduzmite sledeñe korake da biste zaãtitili svoju kompaniju od oda-vaça naizgled bezazlenih informacija:

• Odeàeçe za bezbednost informacija treba da sprovede obuku s ciàemda do pojedinosti razjasne metode obmaçivaça. Jedna od metoda,kao ãto smo ranije opisali, jeste da se doœe do naizgled beznaåajnogpodatka, te da se on kasnije upotrebi kao æeton za poker kako bi seuspostavilo kratkotrajno povereçe. Svaki zaposleni mora znati dapoznavaçe kompanijske procedure, terminologije i internih kodova,ni u kom sluåaju nije dovoàno za identifikaciju sagovornika, niti mudaje pravo da zahteva podatke. Sagovornik moæe biti i bivãi zaposleniili radnik po ugovoru koji ima potrebne interne informacije. Shodnotome, svaka firma mora da utvrdi odgovarajuñe metode identifikacijekoje se primeçuju kad zaposleni stupe u kontakt s àudima koje liånone poznaju ili s çima razgovaraju telefonom.

• Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifika-ciju podataka treba da razmotre tipove pojedinosti koje se mogu upo-trebiti da bi se doãlo do poveràivih informacija, a koje se zaposlenima

UMOB, November 4, 2003 10:07 am


29

Poglavlje 2

: Kad

a bezazlen

a info

rmacija n

ije tako b

ezazlena

åine bezazlene. Iako nikada ne biste otkrili ãifru kreditne kartice, da libiste ikome rekli koji server koristite za razvoj kompanijskog softvera?Da li bi tu informaciju mogao upotrebiti prevarant koji se izdaje zaosobu kojoj je odobren pristup kompanijskoj mreæi?

• Zahvaàujuñi pukom poznavaçu interne terminologije, ponekadnapadaå ostavàa utisak autoritativne osobe koja se razume u posao.Zahvaàujuñi uvreæenom povereçu u siguran nastup, prevarant åestosvojim nastupom nagovori “ærtvu” da s çim saraœuje. Na primer,identifikacioni broj filijale je izraz koji osobàe u odeàeçu za noveraåune banke nonãalantno koristi svakog dana. Ali takav identifika-tor je potpuno isto ãto i lozinka. Kad bi svaki zaposleni shvatioçegov znaåaj – to da se koristi kako bi se podnosilac molbe identi-fikovao – moæda bi se prema çemu odnosili s viãe poãtovaça.

• Nijedna kompanija, ili bar veoma malo çih, ne daje direktne telefon-ske brojeve svojih generalnih direktora ili ålanova upravnog odbora.Ipak, u najveñem broju kompanija se i ne razmiãàa o davaçu tele-fonskih brojeva veñine odeàeça i radnih grupa u okviru organizacije– a pogotovo nekome ko je zaposlen ili se tako predstavàa. Moguñaprotivmera bila bi da se uvede zabrana davaça internih telefonskihbrojeva zaposlenih, radnika po ugovoru, savetnika i probnih radnikabilo kome van firme. Ãto je joã vaænije, vaàa osmisliti proceduru kojase sastoji iz viãe koraka, a kojom bi se taåno mogao utvrditi identitetsagovornika koji traæi telefonske brojeve.

porukamitnikova

Kako kaæe stara izreka – åak i pravi paranoici verovatno imaju neprijateàe.Pretpostaviñemo da i svaka firma ima svoje neprijateàe – napadaåe koji ciàajuna mreænu infrastrukturu da bi ugrozili poslovne tajne. Ne dozvolite da i vizavrãite kao statistiåki podatak o raåunarskom kriminalu. Krajçe je vreme dapodignete neophodne bedeme tako ãto ñete primeniti odgovarajuñe, dobroosmiãàene bezbednosne pravilnike i procedure.

• Brojevi raåuna radnih grupa i odeàeça, kao i primerci telefonskihimenika kompanija (u ãtampanoj verziji, u vidu datoteke ili kao elek-tronski imenik na intranetu) åesta su meta prevaranata. Neophodno

UMOB, November 4, 2003 10:07 am


30

Deo

2: U

meñ

e nap

adaå

a

je da svaka kompanija ima pisani i distribuirani pravilnik o obeloda-çivaçu informacija te vrste. U zaãtitne mere treba uvrstiti i voœeçednevnika u koji bi se zapisivalo odavaçe poveràivih informacijaàudima van firme.

• Podaci poput broja zaposlenog ne treba da se samostalno koriste zaidentifikaciju. Svakog zaposlenog treba obuåiti da utvrdi i identitetonoga ko informaciju traæi i zaãto je traæi.

• U okviru obuke o zaãtiti informacija, razmislite o tome da nauåitezaposlene sledeñem: kad god im nepoznata osoba postavi pitaçe ili ihzamoli za uslugu, prvo treba àubazno da je odbiju dok se zahtev neodobri. A potom – pre nego ãto popuste pred prirodnim nagonom dabudu predusretàivi – neka prate kompanijski pravilnik i procedure uvezi sa odobravaçem i objavàivaçem informacija koje nisu javneprirode. To moæe biti malo protivno naãem prirodnom nagonu dapomognemo drugima, ali je moæda neophodna mala doza zdraveparanoje da biste izbegli da baã vi upadnete u obmaçivaåevu zamku.

Kao ãto smo u priåama iz ovog poglavàa videli, naizgled bezazlene in-formacije mogu biti kàuå do najåuvanijih tajni vaãe kompanije.

UMOB

, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 333 str.

Pregledbezbednosnih metoda

piskovi i dijagrami koji slede ukratko opisuju metode obmane nave-dene u poglavàima od 3 do 15, i postupke provere iz poglavàa 16.Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima

da bi ih primenili kada se ukaæe problem bezbednosti informacija.

PREPOZNAVANJE NAPADA

Naredne tabele i spiskovi ñe vam pomoñi da uoåite napad sistematskogobmaçivaça.

Ciklus obmane

POSTUPAK OPIS

Istraæivaçe

Ispituju se i podaci iz javnih izvora kao ãto su godi-

ãçi izveãtaji, marketinãke broãure, prijave patenata,

iseåci iz ãtampe, struåni åasopisi i Web lokacije.

Tu spada i kopaçe po smeñu.

Razvijaçe dobrih

odnosa i povereça

Upotreba internih informacija, laæno predstavàaçe,

pomiçaçe osoba koje ærtva poznaje, molba za

pomoñ, ili pozivaçe na autoritet.

s

UMOB

, November 4, 2003 10:08 am


334

Preg

led b

ezbed

nosn

ih m

etoda

Uobiåajene metode obmaçivaça

• Izdavaçe za kolegu

• Izdavaçe za zaposlenog u firmi dobavàaåa usluga, partnerskoj firmi,ili kriminalistiåkoj sluæbi

• Izdavaçe za nekog ko je na viãem poloæaju

• Izdavaçe za novog zaposlenog kome treba pomoñ

• Izdavaçe za dobavàaåa usluga ili proizvoœaåa sistema koji zove da biponudio sistemsku zakrpu ili najnoviju verziju

• Nuœeçe pomoñi ako bi nastao problem, potom izazivaçe problema,åime se ærtva navede da od napadaåa zatraæi pomoñ

• Slaçe ærtvi besplatnog softvera ili zakrpe da ih instalira

• Slaçe virusa ili trojanskog koça u prilogu elektronske poruke

• Upotreba laænog okvira za dijalog u kom se od korisnika traæi da seponovo prijavi za rad ili da ponovo unese lozinku

• Snimaçe ærtvinih pritisaka na tastere pomoñu raåunarskog sistemaili programa

• Ostavàaçe na radnom mestu disketa ili kompakt diskova sa zlo-namernim softverom

• Koriãñeçe interne terminologije da bi se zadobilo neåije povereçe

• Nuœeçe nagrade da bi se neko registrovao na Web lokaciji pomoñukorisniåkog imena i lozinke

• Ostavàaçe dokumenata ili datoteka u kompanijskoj prostoriji zapoãtu radi isporuke u kancelarije

• Prilagoœavaçe zaglavàa faksa tako da se åini da je poslat sa internelokacije

• Umoàavaçe sluæbenika prijemnog odeàeça da primi i prosledi faks

• Zahtev da se datoteka prosledi do naizgled interne lokacije

Zloupotreba

povereça

Traæeçe informacija ili usluge od ærtve. U obrnutoj

æaoci, manipulisaçe ærtvom da od napadaåa zatraæi

pomoñ.

Upotreba

informacija

Ako su dobijene informacije samo korak do kona-

ånog ciàa, napadaå pribegava prethodno pomenu-

tim koracima ciklusa dok ne doœe do ciàa.

UMOB

, November 4, 2003 10:08 am


335

Pregled

bezb

ednosn

ih m

etoda

• Podeãavaçe glasovne poãte tako da pozivaoci pomisle da im je napa-daå kolega

• Pretvaraçe napadaåa da dolazi iz drugog ogranka preduzeña, i tra-æeçe da mu se u sistemu preduzeña otvori elektronsko sanduåe.

Znaci koji upozoravaju na moguñi napad

• Neko odbija da vam kaæe broj na koji ga moæete pozvati

• Neobiåan zahtev

• Naglaãavaçe visokog poloæaja

• Naglaãavaçe hitnosti sluåaja

• Pretça negativnim posledicama u sluåaju odbijaça saradçe

• Nelagodni razgovor pri ispitivaçu

• Pomiçaçe poznatih osoba

• Deàeçe komplimenata ili laskaçe

• Flertovaçe

Uobiåajene mete napada

Faktori koji olakãavaju napad na kompanije

• Velik broj zaposlenih

• Viãe ogranaka

• Podaci o lokaciji zaposlenih u porukama glasovne poãte

TIP ÆRTVE PRIMERI

Neko ko nije

svestan znaåaja

informacija

Sluæbenici prijemnih odeàeça, sluæbenici na tele-

fonskoj centrali, sekretarice i pomoñnici, åuvari.

Lica s posebnim

ovlaãñeçima

Informatiåka ili tehniåka podrãka korisnicima,

administratori raåunarskog sistema, raåunarski

operateri, administratori telefonskog sistema.

Proizvoœaåi ili

davaoci usluga

Proizvoœaåi raåunarskog hardvera i softvera, proi-

zvoœaåi sistema za glasovnu poãtu.

Posebna odeàeça

Raåunovodstvo, kadrovsko odeàeçe.

UMOB

, November 4, 2003 10:08 am


336

Preg

led b

ezbed

nosn

ih m

etoda

• Objavàivaçe broja lokala

• Nepostojaçe bezbednosne obuke

• Nepostojaçe sistema klasifikacije podataka

• Nepostojaçe plana za prijavàivaçe incidenata i reagovaçe na çih

PROVERA I KLASIFIKACIJA PODATAKA

Ove tabele i blok-dijagrami ñe vam pomoñi da reagujete na traæeçe infor-macija ili usluga koji mogu biti meta obmaçivaåa.

Postupak provere identiteta

POSTUPAK OPIS

Identifikacija

poziva

Proverite da li je poziv interni, i da li ime i broj

lokala odgovaraju identitetu sagovornika.

Uzvrañaçe poziva

Potraæite ime podnosioca zahteva u kompanijskom

imeniku i pozovite ga na navedeni broj lokala.

Garantovaçe

Zatraæite od poveràivog radnika da garantuje za

identitet podnosioca zahteva.

Deàena interna

tajna

Zatraæite da vam kaæe tajnu koju deli åitavo

preduzeñe, kao ãto je lozinka ili dnevni kôd.

Nadzornik

ili pretpostavàeni

Stupite u vezu s neposrednim pretpostavàenim tog

radnika i zatraæite da on potvrdi çegov identitet i

status u firmi.

Bezbedna elektron-

ska poãta

Zatraæite da vam poãaàu digitalno potpisanu

poruku.

Liåno prepozna-

vaçe glasa

Ako neki zaposleni liåno poznaje onoga za koga se

sagovonik izdaje, pozovite ga da proveri da li je to

çegov glas.

Izmenàive lozinke

Koristite vremenski æeton kao ãto je Secure ID, ili

neko drugo pouzdano sredstvo za identifikaciju.

Liåno

Zatraæite od podnosioca zahteva da liåno doœe sa

propusnicom za zaposlene ili nekim drugim doku-

mentom za identifikaciju.

UMOB

, November 4, 2003 10:08 am


337

Pregled

bezb

ednosn

ih m

etoda

Postupak provere statusa zaposlenog

Postupak utvrœivaça ovlaãñeça za posedovaçe informacija

Kriterijumi za proveru osoba koje nisu zaposlene u firmi

POSTUPAK OPIS

Provera u kompanijskom

imeniku

Proverite da li se ime zaposlenog nalazi

u imeniku na mreæi.

Potvrda od pretpostavàenog

podnosioca zahteva

Pozovite çegovog pretpostavàenog na

broj naveden u kompanijskom imeniku.

Potvrda od odeàeça ili

radnog tima podnosioca

zahteva

Pozovite odeàeçe ili radni tim podno-

sioca zahteva i proverite da li je joã uvek

zaposlen u firmi.

POSTUPAK OPIS

Pogledajte spisak odgovor-

nosti radnih mesta/timova

Pogledajte objavàene spiskove osoba

koje su ovlaãñene da poseduju odreœene

poveràive informacije.

Zatraæite odobreçe od svog

pretpostavàenog

Pozovite svog pretpostavàenog, ili pret-

postavàenog podnosioca zahteva, i zatra-

æite odobreçe da mu ispunite zahtev.

Zatraæite odobreçe od osobe

zaduæene za informacije ili

çegovog zamenika

Pitajte osobu zaduæenu za informacije

da li je podnosilac zahteva ovlaãñen da

poseduje date podatke.

Proverite ovlaãñeçe pomoñu

automatskog alata

Proverite ovlaãñeça u posebnoj bazi

podataka.

KRITERIJUM POSTUPAK

Odnos

Proverite da li je firma koja podnosi zahtev davalac

usluga, strateãki partner, ili neka druga firma koja je u

odgovarajuñem odnosu s vaãom.

Identitet

Proverite identitet i status zaposlenog u partnerskoj firmi.

UMOB

, November 4, 2003 10:08 am


338

Preg

led b

ezbed

nosn

ih m

etoda

Klasifikacija podataka

Åuvaçe tajne

Proverite da li je podnosilac zahteva potpisao ugovor

o åuvaçu poveràivih informacija vaãe firme.

Pristup

Uputite zahtev pretpostavàenom kada su podaci kla-

sifikovani kao osetàiviji od internih.

KLASIFIKACIJA OPIS POSTUPAK

Javni

Mogu se slobo-

dno saopãtavati

u javnosti.

Nema potrebe proveravati.

Interni

Za upotrebu u

okviru firme.

Proverite da li je podnosilac zahteva

i daàe zaposlen u vaãoj firmi, a ako

nije, da li je potpisao ugovor o åuva-

çu informacija, i da li ga je ruko-

vodstvo ovlastilo.

Privatni

Podaci liåne

prirode name-

çeni za upotre-

bu iskàuåivo

u okviru

organizacije.

Proverite da li je podnosilac zahteva

i daàe zaposlen u vaãoj firmi, a ako

nije, da li je ovlaãñen da poseduje te

informacije. Proverite sa kadrovskim

odeàeçem da li smete da saopãtite

liåne podatke ovlaãñenim zaposleni-

ma ili drugim podnosiocima zahteva.

Poveràivi

Znaju ih samo

ona lica u okviru

organizacije

kojima je to

neophodno

za rad.

Kod osobe zaduæene za informacije

proverite identitet podnosioca za-

hteva i çegova ovlaãñeça. Saopãtite

ih samo uz prethodno pismeno odo-

breçe pretpostavàenog, osobe zadu-

æene za informacije, ili çihovog za-

menika. Proverite da li je podnosilac

zahteva potpisao ugovor o åuvaçu

podataka. Samo uprava sme da ob-

javàuje poveràive informacije licima

koje firma ne zapoãàava.

UMOB

, November 4, 2003 10:08 am


339

Pregled

bezb

ednosn

ih m

etoda

Kako reagovati kad vam neko traæi informacije

Sve informacije se smatraju osetàivima ukoliko nisu posebno nameçene za javnu upotrebu.

PRIMERI

Struktura odgovornosti, imena i zvaça zaposlenih

Bilo kakve lozinke Da

Ne

Pojedinostistrukture

organizacije

Da

Ne

Kompanijskitelefonski

imenik

Da

Ne

Liåne podatke Da

Ne

Postupkei informacije

o raåunarskimsistemima

Da

Ne

Poveràive ili liåneinformacije

Da

Zlatna pitanja

NIKADA nemojte saopãtavati svoju lozinku ni pod kojim uslovima.

Sledite postupke rada s internim informacijama.




Proverite klasu podataka; sledite odgovarajuñe postupke za tu klasu.

Interni telefonski brojevi dodeàeni zaposlenima, interni faks brojevi, interni brojevi zgrada i spiskovi odeàeça

Liåni telefonski brojevi (kuñni ili mobilni), broj socijalnog osiguraça, kuñna adresa, istorijat radnih mesta i plata

Tip operativnog sistema, postupci za daàinski pristup, telefonski brojevi za daàinski pristup i nazivi pojedinih raåunarskih sistema

Postupci proizvodçe, strateãki planovi, izvorni kôd programa, spiskovi kupaca i poslovne tajne

Kako da znam da li je ova osoba ona za koju se izdaje?Kako da znam da je ova osoba ovlaãñena da zahteva tako neãto?

Osoba zahteva sledeñe informacije:

UMOB

, November 4, 2003 10:08 am


340

Preg

led b

ezbed

nosn

ih m

etoda

Kako reagovati kada neko zatraæi da neãto uradite

Sve ãto preduzmete na tuœ zahtev moæe naãkoditi vaãoj firmi. Proveravajte. Proveravajte.

NAPOMENE

Daotvorite

datoteku priloæenuuz elektronsku

poruku

Da

Ne

Da izmenite lozinku Da

Ne

Daelektronski

prosledite interneinformacije

Da unesetenaredbe u raåunar

Da

Ne

Da

Ne

Dapreuzmete,

instalirate, uklonite,ili iskàuåite

softver

Da

Ne

Daizmenite

parametre raåunarskogsistemaili mreæe

Da

Zlatna pravila

Ne otvarajte prilo-æenu datoteku uko-liko je unapred ne oåekujete. Proverite sve takve datoteke pomoñu antiviru-snog softvera.

NIKADA ne meçajte lozinku u neãto poznato dru-gom licu, åak ni za trenutak!

Proverite klasu podataka; sledite odgovarajuñe postupke za tu klasu.

Podnosilac zahteva mora biti iskàuåivo iz informatiåkog odeàeça; prime-nite postupke pro-vere zaposlenog.


Podnosilac zahteva mora biti iskàuåivo iz informatiåkog odeàeça; primenite postupke provere zaposlenog.

Izvorni kôd programa, poslo-vne tajne, postupak proizvo-dçe, formule, specifikacije proizvoda, marketinãki podaci ili poslovni planovi

Nikada nemojte unositi nepoznate naredbe i nikada ne pokreñite programe na zahtev druge osobe ukoliko to posebno ne odobri informatiåko odeàeçe

Instalirajte samo softver iz proverenih izvora koji se moæe proveriti pomoñu digitalnog potpisa

Ne meçajte nikakve parametre u BIOS-u, operativnom sistemu, niti bilo kojoj aplikaciji (ukàuåu-juñi i liånu zaãtitnu barijeru ili antivirusne programe) ukolikoto posebno ne odobri informa-tiåko odeàeçe

Nikome nemojte verovati dok ne proverite çegov identitet.Poæeàno je proveravati ispravnost zahteva.

Osoba od vas traæi sledeñu uslugu:

umetnost obmane

Documents